Показать сообщение отдельно
Старый 04.11.2011, 10:28   #14
Demon1X
 
Аватар для Demon1X
 
Регистрация: 10.07.2010
Сообщений: 56
Репутация: 5
По умолчанию

Цитата:
На что нужно рассчитывать в последнюю очередь, так это на конфигурацию серверов. Грамотный код должен быть неуязвим при любом раскладе конфигов.
Советуете все необходимые настройки заранее забивать в конфиг, через ini_set() ?

Цитата:
Сообщение от nobody Посмотреть сообщение
Собственно данным из базы, как верно подметили доверять нельзя, не только потому что возникнут проблемы если в будущем будет надобность что-то дописать, вот более жесткий пример:
Допустим я имею доступ к бд, да я конечно могу поменять пасс админу/слить и все такое, но ты еще предоставляешь выполнение команд:
Код:
45         $query="SELECT * FROM `main` WHERE `id_dog`='$id_dog'";
61         $ip=$user['ip'];

417        exec("grep $ip blablab-la");
ip у тебя varchar(15), в обычном случае даже есть alter_priv
Такой расклад маловероятен, но на всякий случаи прикрутил проверку на валидность ip.

В общем если я вас правильно понял - лучше ставить под сомнение ВСЕ данные пришедшие не только от пользователя, но и от самой БД.

Обрабатывать при выводе в браузер и составление SQL-запросов, все данные которые взяты из полей не только с пользовательской инфой (поля в которые записывается информация полученная от пользователя), но со служебной (данные в которых генерятся самим скриптом или забиваются биллингом). Так?
Demon1X вне форума   Ответить с цитированием